Scan-Server für sichere Web-Anwendungen

Data & StorageEnterpriseSicherheitSoftwareStorage

Das Regensburger Unternehmen art of defence hat die Software ‘hyperscan’ vorgestellt. Nutzer können damit Web-Anwendungen auf Schwachstellen prüfen.

Die Software kontrolliert Web-Applikationen nach Angaben des Anbieters mit einem Crawl-Mechanismus auf Sicherheitslücken wie SQL Injection oder Cross Site Scripting (XSS) von außen – ohne Kenntnis des Quellcodes oder der IT-Infrastruktur.

Somit ergänze hyperscan klassische Schwachstellen-Scanner, die nach bekannten Sicherheitslücken in Standardsystemen suchen, hieß es. Die Lösung erfasse den Aufbau einer Web-Applikation, indem sie sich zum einen vom Entry Point ausgehend mit dem Crawl-Mechanismus durch die erreichbaren Links arbeite. Bei der Prüfung dynamischer Website-Bereiche könne der Crawl-Mechanismus zum anderen durch manuelles Browsen ergänzt werden. Dies trage zur Erkennung von Schwachstellen bei, die auf JavaScript und Ajax basieren.

Um Schwachstellen zu finden, durchdringe hyperscan die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Die Lösung füge sich dabei in bestehende Entwicklungs-, Abnahme- und Auditing-Prozesse ein, so der Anbieter. Außerdem sei das parallele Scannen und Crawlen mehrerer Projekte möglich (Multi-Projekt-Fähigkeit). Auch zur Überprüfung von Outsourcing-Leistungen könne das Produkt zum Einsatz kommen.

Die entdeckten Schwachstellen werden demnach beschrieben und rollenbasiert aufbereitet – beispielsweise in Form von Compliance-Reports, unter anderem nach PCI, ISO 27001, ITIL, Basel II oder OWASP. Geschäftsführer und andere Führungskräfte erhalten einen Kurzüberblick über den Sicherheitszustand der Web-Applikation sowie einen chronologischen Ablauf, der wiedergibt, welche Schwachstellen gefunden wurden.

CSOs und CIOs bekommen zudem Informationen über Schweregrad und Typ der Verwundbarkeiten. Security-Mitarbeiter sind in der Lage, Anwendungen zu überprüfen und mögliche Schwachstellen an die Entwicklungsleiter zu berichten.